Datenschutzerklärung

1. Zusammenfassung in einfacher Sprache

Thyra ist eine Ernährungs-App für Menschen, die mit Hypothyreose und Hashimoto leben. Deine Gesundheitsdaten sind sensibel, und genau so behandeln wir sie:

• Wir erheben nur die Daten, die wir zur Bereitstellung des Dienstes benötigen.
• Wir verkaufen deine Daten niemals und nutzen deine Gesundheitsdaten niemals für Werbung.
• Deine Symptome, Medikamenten- und Ernährungseinträge sind im Ruhezustand verschlüsselt und durch nutzerindividuelle Zugriffskontrollen geschützt.
• Du kannst dein Konto jederzeit aus der App heraus oder per E-Mail an uns exportieren oder löschen.

Die folgenden Abschnitte erklären dasselbe im Detail.

2. Wer wir sind

Thyra (“Thyra”, “wir”, “uns”) ist der für die in dieser Erklärung beschriebene Verarbeitung Verantwortliche. Du erreichst uns unter hi@usethyra.com.

Diese Erklärung gilt für die mobile Thyra-App und die Website unter usethyra.com. Wenn du Dienste Dritter nutzt (App Store, Google Play, Google-Anmeldung, Apple-Anmeldung), verarbeiten diese Anbieter deine Daten zusätzlich nach ihren eigenen Datenschutzhinweisen.

3. Daten, die wir erheben

3.1 Daten, die du bereitstellst

• Konto. E-Mail-Adresse und der von dir gewählte Anmeldedienst (Apple oder Google).
• Gesundheitsprofil. Selbst angegebene Informationen, die du uns beim Onboarding mitteilst: Erkrankung (Hypothyreose / Hashimoto), Name, Dosis und Einnahmezeit deines Medikaments, Zöliakie-Status, Ernährungsansatz, Gewichtsziel, Größe, Gewicht, Alter, biologisches Geschlecht, Aktivitätsniveau, Kochniveau, wichtigste Symptome, gemiedene Lebensmittel, vermutete Auslöser und Ernährungsvorlieben.
• Tägliche Einträge. Symptome (Energie, Brain Fog, Stimmung, Verdauung), Lebensmitteleinträge (Text, Fotos und KI-basierte Nährstoffschätzungen) sowie Notizen, die du festhalten möchtest.
• Laborergebnisse. Falls du sie hochlädst, Fotos von Laborberichten und die ausgelesenen Werte (TSH, T3, T4, Antikörper usw.).
• Konversationen. Nachrichten, die du an den KI-Begleiter und den Food-Validator sendest.
• Support. Alles, was du uns per E-Mail oder Kontaktformular schreibst.

3.2 Daten, die wir automatisch erheben

• Nutzungsereignisse. Anonymisierte Produktanalysen (aufgerufene Bildschirme, genutzte Funktionen, Conversion-Funnel), erhoben über Amplitude.
• Absturz- und Leistungsdaten. Stack Traces und Gerätemetadaten über Sentry, um Fehler zu beheben.
• Installations-Attribution. Wenn du Thyra nach dem Klick auf einen Marketing-Link installierst, erfasst AppsFlyer, welche Kampagne dich gebracht hat — ohne personenbezogene Kennungen.
• Abostatus. RevenueCat teilt uns mit, ob du ein aktives Abonnement hast, aber die eigentliche Zahlung wird von Apple oder Google abgewickelt, und wir sehen deine Kartendaten nie.
• Web-Analyse. Wenn du usethyra.com besuchst, nutzen wir einen cookielosen Analyseanbieter, der dich nicht seitenübergreifend verfolgt.

3.3 Daten, die wir NICHT erheben

• Wir erheben keinen genauen Standort.
• Wir greifen über die Bilder hinaus, die du ausdrücklich einem Ernährungseintrag oder Labor-Upload hinzufügst, nicht auf deine Fotos zu.
• Wir greifen nicht auf deine Kontakte, dein Mikrofon oder HealthKit- / Health-Connect-Daten zu, sofern du nicht ausdrücklich eine künftige Integration aktivierst.

4. Wie wir deine Daten verwenden

• Um deine Ernährungspläne zu erstellen, Lebensmittel einzuordnen und Medikamentenfenster zu berechnen.
• Um Symptome zu verfolgen und nach mindestens 14 Tagen mit Daten Zusammenhänge zwischen Lebensmitteln und Symptomen aufzuzeigen.
• Um zeitnahe Benachrichtigungen zu senden, denen du zugestimmt hast (Medikamenten-Erinnerungen, tägliche Check-ins).
• Um deinen Abostatus mit dem App Store und Google Play synchron zu halten.
• Um Abstürze zu beheben, Missbrauch zu verhindern und das Produkt zu verbessern.
• Um zu antworten, wenn du uns kontaktierst.

Wir verwenden deine Gesundheitsdaten niemals für zielgerichtete Werbung und teilen sie niemals mit Werbenetzwerken.

5. Rechtsgrundlagen (DSGVO)

Wenn du dich im Europäischen Wirtschaftsraum, im Vereinigten Königreich oder in der Schweiz befindest, stützen wir uns auf folgende Rechtsgrundlagen:

• Vertragserfüllung — um den Dienst bereitzustellen, für den du dich angemeldet hast.
• Ausdrückliche Einwilligung — für die Verarbeitung von Gesundheitsdaten, KI-Funktionen und alle optionalen Integrationen. Du kannst deine Einwilligung jederzeit widerrufen.
• Berechtigte Interessen — für Produktanalysen, Betrugsprävention und Sicherheit, abgewogen gegen deine Rechte.
• Rechtliche Verpflichtung — um bestimmte Aufzeichnungen aufzubewahren, wenn das Gesetz dies verlangt.

6. Mit wem wir Daten teilen

Wir teilen Daten nur mit Auftragsverarbeitern, die zur Bereitstellung des Dienstes erforderlich sind. Jeder von ihnen handelt auf Grundlage eines schriftlichen Auftragsverarbeitungsvertrags und verarbeitet deine Daten ausschließlich nach unseren Weisungen.

• Supabase — Datenbank, Authentifizierung, Dateispeicher. Hosting-Region: Vereinigte Staaten.
• OpenAI — KI-Inferenz für den Food-Validator, den Food-Logger und den KI-Begleiter. Eingaben werden nicht zum Training von OpenAI-Modellen verwendet (Zero-Retention-API).
• RevenueCat — Validierung von Abo-Belegen und Berechtigungsstatus.
• Apple App Store / Google Play — Zahlungsabwicklung, Store-Verteilung.
• Amplitude — Produktanalysen (nur Ereignisse, keine Gesundheitsinhalte).
• Sentry — Absturzberichte und Leistungsüberwachung.
• AppsFlyer — Installations-Attribution für Marketingkampagnen.
• Resend — Transaktions-E-Mails (Konto, Support).
• Vercel — Hosting der Marketing-Website.

Wir verkaufen keine personenbezogenen Daten. Wir können Daten offenlegen, wenn dies gesetzlich durch eine gültige Vorladung, gerichtliche Anordnung oder Anfrage von Strafverfolgungsbehörden erforderlich ist.

7. KI-Verarbeitung

Der Food-Validator, der Foto-Food-Logger und der KI-Begleiter senden deine Eingabe (Text, Foto und die relevanten Teile deines Profils wie Erkrankung, Medikamentenzeit und Ernährungsansatz) an die API von OpenAI, um eine Antwort zu erzeugen.

• OpenAI verarbeitet die Eingabe ausschließlich, um die Antwort zurückzugeben, und behält sie nicht zum Training.
• Konversationen mit dem KI-Begleiter werden in deinem Konto gespeichert, damit du sie erneut lesen kannst. Du kannst jede Konversation aus der App heraus löschen.
• Die KI ist kein Arzt. Sie wird dich niemals diagnostizieren, deine Dosis ändern oder den Anweisungen deines Arztes widersprechen.

8. Internationale Datenübermittlung

Unsere Infrastruktur wird überwiegend in den Vereinigten Staaten betrieben. Wenn du Thyra von außerhalb der USA nutzt, werden deine Daten in die USA übermittelt. Wir stützen uns auf die von der Europäischen Kommission genehmigten Standardvertragsklauseln (und gegebenenfalls das UK IDTA), um diese Übermittlungen zu legitimieren.

9. Speicherdauer

• Konto- und Gesundheitsdaten: werden für die Dauer des Bestehens deines Kontos aufbewahrt und dann innerhalb von 30 Tagen nach der Kontolöschung gelöscht.
• Backups: rollierende 30-Tage-Backups; gelöschte Datensätze verschwinden innerhalb von 30 Tagen aus den Backups.
• Anonymisierte Analysen: bis zu 24 Monate für Produktforschung aufbewahrt.
• Support-E-Mails: 24 Monate aufbewahrt.

10. Sicherheit

Wir setzen branchenübliche Schutzmaßnahmen ein: Verschlüsselung bei der Übertragung (TLS 1.2+), Verschlüsselung im Ruhezustand, nutzerindividuelle Row Level Security auf jeder Datenbanktabelle, kurzlebige Zugriffstoken und Audit-Logs für administrative Zugriffe. Kein System ist vollkommen sicher, aber wir arbeiten hart daran, eine Verletzung unwahrscheinlich zu machen. Sollte eine Verletzung dich jemals betreffen, benachrichtigen wir dich innerhalb von 72 Stunden, nachdem wir Kenntnis erlangt haben, wie es die DSGVO vorschreibt.

11. Deine Rechte

Du hast das Recht:

• auf Auskunft über eine Kopie deiner Daten.
• auf Berichtigung unrichtiger Daten.
• auf Löschung deines Kontos und aller zugehörigen Daten.
• auf Einschränkung oder Widerspruch gegen bestimmte Verarbeitungen.
• auf Datenübertragbarkeit — deine Daten in einem maschinenlesbaren Format zu erhalten.
• auf Widerruf der Einwilligung jederzeit, ohne dass dies die zuvor erfolgte Verarbeitung berührt.
• auf Beschwerde bei deiner zuständigen Datenschutzbehörde.

Am schnellsten geht es über die Schaltfläche “Konto löschen” in der App (Einstellungen → Konto). Du kannst auch eine E-Mail an hi@usethyra.com senden; wir antworten innerhalb von 30 Tagen.

12. Kinder

Thyra ist für Erwachsene ab 18 Jahren bestimmt. Wir erheben wissentlich keine Daten von Personen unter 18 Jahren. Das Onboarding fragt nach deinem Alter und blockiert Konten von Personen unter 18 Jahren. Wenn du glaubst, dass eine minderjährige Person ein Konto erstellt hat, kontaktiere uns, und wir werden es löschen.

13. Cookies und Tracking

Usethyra.com nutzt einen cookielosen Analyseanbieter, der Seitenaufrufe ohne personenbezogene Kennungen aggregiert. Wir setzen ein einziges Erstanbieter-Cookie, um deine Spracheinstellung zu merken. Die mobile App verwendet keine Web-Cookies.

Wir beteiligen uns nicht an seitenübergreifender verhaltensbasierter Werbung.

14. Kalifornien (CCPA)

Wenn du in Kalifornien ansässig bist, gibt dir der California Consumer Privacy Act das Recht zu erfahren, welche personenbezogenen Daten wir erheben, das Recht auf deren Löschung und das Recht, wegen der Ausübung deiner Rechte nicht benachteiligt zu werden. Thyra verkauft oder teilt keine personenbezogenen Daten im Sinne des CCPA. Anfragen sende bitte an hi@usethyra.com.

15. Änderungen dieser Erklärung

Wenn wir wesentliche Änderungen vornehmen, aktualisieren wir das Datum “zuletzt aktualisiert” am Anfang und benachrichtigen dich gegebenenfalls in der App oder per E-Mail mindestens 14 Tage vor Inkrafttreten der Änderungen. Die fortgesetzte Nutzung nach dem Wirksamkeitsdatum bedeutet, dass du die aktualisierte Erklärung akzeptierst.

16. Kontakt

Bei Fragen zum Datenschutz, Datenanfragen oder Beschwerden sende eine E-Mail an hi@usethyra.com oder nutze das Kontaktformular. Für allgemeinen Support sende eine E-Mail an hi@usethyra.com.